Forschungseinrichtungen für Schwachstellen bei IoT sind essentiell
Harry Sintonen, Senior Security Consultant bei F-Secure, war vergangene Woche bei Disobey in Helsinki und zeigte dem Publikum, wie sich Angreifer unsichere Geräte zunutze machen können. Harry konzipierte diese Demonstration, nachdem er mehrere Schwachstellen in einem NAS-Gerät (Network Attached Storage, Netzwerkspeicher) von QNAP entdeckt hatte. Um zu überprüfen, ob die Schwachstellen verwendet werden könnten, um das Gerät zu „hacken“, entwickelte Harry einen Proof-of-Concept-Exploit (POC) (ein wenig Code, der Schwachstellen zur Kompromittierung von Systemen nutzt), was ihm die Kontrolle über die anfälligen Geräte ermöglichte.
Hier wollen wir nicht näher auf die technischen Details eingehen. Grundsätzlich manipuliert der POC das Gerät, während es versucht, seine Firmware zu aktualisieren. Dies war ein leichtes Ziel für Harry aufgrund von Problemen mit dem Aktualisieren dieser Geräte (z.B., dass Update-Anforderungen nicht verschlüsselt werden).
Das POC erlaubte Harry die Kontrolle über das Gerät zu erlangen. Er versuchte daraufhin nicht mehr zu tun, aber ein Angreifer würde es versuchen. Nach dem Erlangen der Kontrolle über das Gerät könnte ein Angreifer unter anderem auf gespeicherte Daten zugreifen, Passwörter stehlen oder sogar Befehle ausführen (beispielsweise das Gerät zum Herunterladen von Malware auffordern).
Klingt ernst? Nun, die gute Nachricht ist, dass Angreifer sich so positionieren müssten um den Update-Prozess abzufangen, bevor sie diesen manipulieren können. „Dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen“, erklärt Janne Kauhanen, Cybersicherheitsexperte bei F-Secure.
Die schlechte Nachricht ist jedoch, dass diese Art von Problemen bei Internet-angebundenen Geräten sehr häufig vorkommt. In diesem Fall informierte Harry im Februar 2016 den Hersteller QNAP über diese Probleme, bislang gab es aber noch keine Lösung (obwohl QNAP behauptet, daran zu arbeiten).
Forschungseinrichtungen für Schwachstellen ist von entscheidender Bedeutung, wenn wir das IoT schützen wollen
Dies ist nicht das erste Mal, dass Harry Sicherheitslücken in Produkten findet. Im letzten Sommer entdeckte er eine Schwachstelle in Home-Routern von Inteno, die sie für Hacks anfällig machen.
„Es ist geradezu lächerlich, wie unsicher die Geräte sind, die an uns verkauft wurden“, sagte Janne damals. „Wir und andere Sicherheitsunternehmen finden ständig Schwachstellen in diesen Geräten. Die Firmware von Routern und IoT-Geräten wird von den Herstellern und ihren Kunden vernachlässigt – außer von Hackern. Diese nutzen die Schwachstellen, um Internet-Datenverkehr zu kapern, Informationen zu stehlen und Malware zu verbreiten.“
Sicherheitsforscher führen diese Arten von Untersuchungen durch, weil Hersteller und Entwickler in der Regel nicht über die Ressourcen verfügen, um dies selbst zu tun. Und angesichts des weltweiten Mangels an kompetenten Fachkräften für Cybersicherheit, sollte dies nicht überraschen.
Deshalb investieren Unternehmen (und nicht nur Sicherheitsunternehmen) in Schwachstellenforschung. Eine Möglichkeit hierfür sind „Bug Bounty“-Programme. Microsoft, Apple und viele andere namhafte IT-Unternehmen (einschließlich F-Secure) bieten Geld für alle, die Schwachstellen in ihren Produkten aufdecken können. Tatsächlich erhielt ein 10-jähriger 10.000 US-Dollar für das Finden einer Schwachstelle in Instagram im Sommer 2016.
Leider jedoch, kommen die meisten Schwachstellen nicht ans Tageslicht, bis ein Benutzer darüber stolpert. Oder noch schlimmer, wenn ein Angreifer davon Gebrauch macht, um damit Geräte zu hacken.
IoT-Geräte verbreiten sich zunehmend – und Sicherheitsprobleme mit ihnen. Machen Sie also keinen Fehler: Wenn wir den nächsten Mirai-Ausbruch oder etwas Schlimmeres vermeiden können, dann deswegen, weil sich jemand die Zeit genommen hat, Sicherheitsprobleme zu finden und darauf hinzuweisen, bevor ein entsprechender Angriff stattfindet.
[ Image by Tumitu Design | Flickr ]
Kategorien